In einem Wort

Flatrate-Bias

Epic Fail

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

Liebe Sparkasse,

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?

.bank im neuen Gewand

Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.

Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?

Wenigstens sind sie aber ehrlich (Hervorhebung von mir):

»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«

 

Helle, heeflich, heemdiggsch

Skimming in Sachsen: 48 Fälle bis Ende Oktober 2009 (2008: 28, 2005: 5 Fälle), geschätzter Schaden 500.000€.

The Cloud Computing Consultant

(video link)

100 Dollar

Hundert Dollar lässt sich T-Mobile USA den Datenverlust durch Serverausfall pro Kunde kosten. Scheinbar zumindest, denn statt Bargeld gibt es einen Gutschein, einzulösen bei T-Mobile USA. Weiß jemand, wie man die realen Kosten so einer Gutscheinaktion kalkuliert?

1 Cent

Für 90 Dollar bekommt man 10.000 geklaute E-Mail-Accounts, ein einzelner Account ist also ungefähr einen Cent wert:

»Unterdessen rückt Rik Ferguson von Trend Micro den Vorfall in die richtige Perspektive. 10.000 gestohlene Account-Daten seien nichts Ungewöhnliches. Die würden auf dem freien Markt etwa 90 Dollar kosten – wenn man die üblichen 10 Prozent Rabatt abzieht.«

(heise Security: Test für kompromittierte E-Mail-Accounts)

Weiß jemand, wie hoch im Vergleich dazu der Schaden pro Account ist?

Neulich in der Zone

Auf der Website des Veranstalters heißt es, man erhalte eine Aufwandsentschädigung für Fahrtkosten. Was die Frage aufwirft, welche Motivation es für Eltern geben könnte, ihre Wänsdr zur Verfügung zu stellen.

Man in the Middle

Man in the Middle im Real Life:

»Im Zeitraum von Juli 2008 bis April 2009 hatte er bei der Deutschen Bahn AG Jahresfahrkarten für die 1. Klasse unter fingierten Namen für existierende Großunternehmen im Raum Rüsselsheim bestellt.
(…)
In mühevoller Kleinarbeit konnten die Ermittler feststellen, dass der Einundzwanzigjährige im Auftrag der Post – als Fahrer eines Taxiunternehmens – Postsendungen an Großkunden in Rüsselsheim auslieferte. Den Zugriff auf Postsendungen vor der Auslieferung machte er sich zunutze, indem er die unter fingierten Namen bestellten Fahrscheine abfing. Auch nachfolgende Mahnschreiben der Deutschen Bahn AG fing er auf gleiche Weise ab.«

(Echo Online: Rüsselsheim. Polizei überführt Fahrkartenbetrüger)

Bevor jetzt aber jemand verschärfte Sicherheitsmaßnahmen gegen dieses offene Scheunentor fordert, der Angriff ist letztendlich gescheitert, denn man hat den Kerl geschnappt. Dem zu entgehen dürfte recht schwer sein, wenn man das krumme Geschäft nachhaltig betreibt. Man muss dazu erstens identifizierbar in der richtigen Position sitzen und zweitens die erschlichenen Fahrkarten zu Geld machen. Solange keiner einen Weg findet, dabei zuverlässig der Verfolgung zu entgehen, ist reaktive Sicherheit in Form der Polizeiarbeit und Strafverfolgung ausreichend.

Misha Glenny investigates global crime networks

(videolink, Misha Glenny, books)

Identity Theft

(video link, via 1 Raindrop)

Schnäppchenpreis

»Ein Botnetz, das zwischen 5000 und 10.000 Bots kontrolliert, kann laut Wüest für 10 US-Dollar pro Woche gemietet werden.«

(Heise online: Spam-Bots werten soziale Netze aus)

Gute Ingenieure haben keine Visionen

Kein technischer Fortschritt ist je aus einer Anwendungsvision hervorgegangen. Stets waren es Bastler und Tüftler, die ein Stück Technik um seiner selbst willen schufen und optimierten, die universelle Technologien entwickelten und der Menschheit zum Fortschritt verhalfen. Die Dampfmaschien war Auslöser der Industrialisierung, aber sie entstand nicht mit der Industrialisierung als Ziel; der Verbrennungsmotor ermöglichte Autos, Panzer und Flugzeuge, wurde aber nicht für Autos, Panzer und Flugzeuge geschaffen; der Weg zum Internet führte über die Entwicklung der Glühbirne und des Telegraphen, ohne dass dabei jemand an ein Internet gedacht hätte.

Genau umgekehrt stellt man sich die Sache vor, wo man versucht, den Fortschritt zu bürokratisieren. Wer schon einmal Fördergelder für die Forschung beantragt hat, der kennt dieses Spiel. Da kommt erst die Vision und dann die Technik. Das Ergebnis ist oft ziemlicher Käse, der schlichteren Naturen – Anforderungsanalyse ist anspruchsvoll – gleichwohl plausibel erscheint. Read the rest of this entry »

Crime by numbers

KPMG – eCrime Report 2009 (March)

Versicherung

Kein Scherz, sondern Werbung auf Spiegel Online:

»ROLAND bietet Führungskräften eine wichtige Ergänzung zum Universal-Straf-Rechtsschutz: das ROLAND U-Haft-Package.«

1/6

»The survey of 800 people in the U.S. and Canada found that one out of six said they have responded to a message they suspected was spam.«

(WSJ Digits: One Out of Six Responded to Spam, via)

Risikomanagement, chinesisch

Die Produktion in China halten wir gerne für ein Sicherheitsrisiko. Chinesen sind Schlitzohren und mit zunehmender Entfernung nimmt die gefühlte Kontrolle ab. Beides zusammen macht Angst. Die Realität aber kann so aussehen:

»Sun Danyong, 25, was tasked with sending 16 fourth-generation iPhone prototypes to Apple this month, but Apple only received 15 when the package arrived, according to Chinese media. Sun reportedly leaped from his apartment window last week, though police are investigating whether he may have been murdered, the Shanghai Daily said.«

(PC World: Foxconn Hands iPhone Suicide Case to Chinese Police)

Hand aufs Herz, welcher Sicherheitsbeauftragte würde nicht hin und wieder alle Ethik für einen Moment vergessen zumindest heimlich von solchen Möglichkeiten träumen?

Spione und Nähkästchen

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Read the rest of this entry »

Krisenspam

Das Spamgeschäft ist krisenfest – wenn die Spammer ihre Angebote der Nachfrage anpassen. Aktienspam funktioniert gerade nicht so gut, dafür sind Viagra, Uni-Abschlüsse und gefälschte Rolex-Uhren gefragt, meldet die Welt.

Can We Say »Don’t Worry«?

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Digitalräuberpistole

Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.

Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.

Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.

Compliance leicht gemacht

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.